L’ETSI ha pubblicato ETSI EN 304 223, il primo standard europeo dedicato alla cybersecurity dei sistemi di intelligenza artificiale. L’ETSI (European Telecommunications Standards Institute) è l’ente europeo che sviluppa standard tecnici per le telecomunicazioni, le tecnologie digitali e l’ICT, assicurando interoperabilità, sicurezza e qualità dei sistemi e dei servizi.
Il documento arriva in un contesto in cui l’AI viene sempre più integrata in settori critici come sanità, finanza ed energia, aumentando le superfici di attacco rispetto al software tradizionale. L’uso di algoritmi per diagnosi mediche, decisioni finanziarie o gestione di infrastrutture vitali comporta che una vulnerabilità possa avere conseguenze reali sulla vita delle persone.
Lo standard definisce requisiti di sicurezza di base per sistemi AI, includendo reti neurali profonde e AI generativa, ed è stato sviluppato con il contributo di oltre 900 organizzazioni in più di 60 paesi, ricevendo approvazione formale dalle organizzazioni nazionali di standardizzazione. Questo consenso internazionale conferisce al framework autorità globale, rendendolo un riferimento per chiunque sviluppi o distribuisca AI.
ETSI EN 304 223 riconosce che l’AI introduce rischi nuovi, come la manipolazione dei dati di addestramento, l’offuscamento dei modelli e l’iniezione indiretta di prompt. Inoltre combina pratiche consolidate di cybersecurity con misure innovative specifiche per l’AI, affrontando vulnerabilità che il software tradizionale non conosceva.
Sebbene l’osservanza di ETSI EN 304 223 non sia obbligatoria e il mancato adeguamento non comporti multe dirette, aumenta il rischio legale, contrattuale e reputazionale.
ETSI EN 304 223 : ciclo di vita e principi di sicurezza
Lo standard ETSI EN 304 223 adotta un approccio basato sul ciclo di vita completo dei sistemi AI, definendo 13 principi distribuiti in cinque fasi: progettazione e distribuzione sicura, sviluppo sicuro, manutenzione sicura e fine vita. Nella progettazione sicura, le organizzazioni devono condurre modellazioni delle minacce specifiche per l’AI, considerando rischi come l’inferenza di appartenenza e l’offuscamento del modello, e ridurre la superficie di attacco disabilitando funzionalità non necessarie, ad esempio modalità di elaborazione di immagini o audio non utilizzate.
Lo sviluppo sicuro richiede la gestione degli asset, incluso il controllo della shadow AI, e l’inventario completo di modelli, dati e interdipendenze, oltre a piani di disaster recovery per attacchi AI come il data poisoning. Nella distribuzione sicura, trasparenza e guida operativa diventano obbligatorie, informando su archiviazione, accesso ai dati e limitazioni del modello.
La manutenzione sicura impone che aggiornamenti significativi siano trattati come nuove versioni, con test completi. Infine, la fase di fine vita richiede lo smaltimento sicuro di asset e dati, evitando fughe di informazioni sensibili o proprietà intellettuale.
ETSI EN 304 223 : catena di responsabilità
ETSI EN 304 223 chiarisce ruoli e responsabilità nella sicurezza AI, definendo tre figure principali: sviluppatori, operatori di sistema e custodi dei dati. Spesso una singola entità ricopre più ruoli, con obblighi cumulativi. Gli sviluppatori includono chi crea o adatta modelli AI, proprietari o open-source, e devono rispettare requisiti di documentazione, test e auditing.
Gli operatori di sistema integrano e distribuiscono i modelli all’interno delle infrastrutture, mentre i custodi dei dati garantiscono permessi e integrità delle informazioni. Un esempio pratico è un’azienda finanziaria che modifica un modello open-source per il rilevamento frodi: agisce sia come sviluppatore che come operatore, dovendo proteggere l’infrastruttura, tracciare i dati di training e documentare tutte le modifiche.
Il coinvolgimento dei custodi dei dati attribuisce responsabilità esplicite ai Chief Data Officers. Lo standard sottolinea che la sicurezza non può essere retroattiva: è necessaria la modellazione delle minacce fin dalla progettazione, gestione completa degli asset e piani di disaster recovery specifici per attacchi AI, assicurando il ripristino rapido di uno stato sicuro in caso di compromissione.
Implementazione pratica e formazione
L’adozione di ETSI EN 304 223 richiede non solo strumenti tecnici, ma una cultura della sicurezza AI, con formazione specifica e aggiornata per ogni ruolo. Gli sviluppatori devono comprendere codifica sicura e gestione dei modelli, mentre il personale generale deve riconoscere rischi come manipolazioni tramite output AI.
Scott Cadzow, presidente del Comitato ETSI, evidenzia l’importanza di linee guida pratiche e collaborative, garantendo sistemi AI resilienti e sicuri by design. L’implementazione può comportare sfide per chi ha già sistemi in produzione, richiedendo retroadattamenti costosi.
Lo standard copre reti neurali profonde e AI generativa, destinata a sistemi reali, mentre la ricerca accademica è esclusa per preservarne la libertà sperimentale. Il Technical Report ETSI TR 104 159 approfondirà l’applicazione ai rischi di AI generativa, deepfake, disinformazione e copyright, fornendo indicazioni più dettagliate e settoriali.
Conclusioni e prospettive
ETSI EN 304 223 definisce un quadro fondamentale per la sicurezza AI, riconoscendo che questa tecnologia ha vulnerabilità uniche. A differenza di linee guida volontarie, lo standard ha autorità formale grazie all’approvazione delle Organizzazioni Nazionali di Standardizzazione: offre sia roadmap tecnica sia strumento di compliance.
La definizione dei ruoli di sviluppatori, operatori e custodi dei dati chiarisce responsabilità e permette policy operative e contratti vincolanti. L’implementazione richiederà risorse significative, soprattutto per sistemi già in produzione. Il prossimo Technical Report su AI generativa indica un approccio modulare che combina principi generali con specificità settoriali, potenzialmente estendibile a healthcare, automotive o difesa.
La sfida principale non è solo tecnica ma organizzativa: tradurre questi principi in pratiche operative quotidiane richiederà un cambiamento culturale profondo, necessario per ridurre il gap di vulnerabilità che gli attaccanti possono sfruttare.
